Uit Duits onderzoek afgelopen juli en augustus door techconsult in opdracht van Sophos blijkt dat 50 procent van de 211 onderzochte bedrijven over kritieke systemen beschikken die ze al vijf tot tien jaar gebruiken. De lang gebruikte OT-systemen in Duitse productiehallen maakt ze kwetsbaar voor cyberaanvallen. Zelfs als ze operationeel worden gehouden door middel van updates, back-ups en externe controles.
Onderzoek
Het onderzoek signaleert bij 48 procent van de 211 onderzochte bedrijven dat ze kritieke systemen van vijf tot tien jaar oud gebruiken. Bij bedrijven met 250 tot 999 werknemers ligt dit percentage zelfs iets boven de helft. 11,4 procent van de onderzochte bedrijven gebruikt systemen ouder dan tien jaar. Waar de gebruikers de mechanische betrouwbaarheid als kwaliteitskenmerk beschouwen, vormt de leeftijd vanuit cybersecurityoogpunt een groeiend probleem.
Kwetsbaar
“De robuust gebouwde productiesystemen draaien vaak tientallen jaren betrouwbaar. Deze lange levensduur brengt echter ook risico’s met zich mee in tijden van toenemende cyberdreigingen”, legt Michael Veit, beveiligingsexpert bij Sophos, uit. “Ooit ontworpen als een geïsoleerd systeem hangt nu vaak aan een netwerk waarmee de kwetsbaarheid voor aanvallen groeit.”
De meeste bedrijven onderhouden hun systemen actief. 82,5 procent voert regelmatig updates uit om zwakke punten te verhelpen en de systemen operationeel te houden. Slechts een verwaarloosbaar klein percentage van 0,5 procent doet dit helemaal niet.
Ongeplande productie-uitval
Deze belangrijke routine kent echter ook nadelen. Meer dan driekwart van de respondenten gaf aan dat software- of beveiligingsupdates de afgelopen drie jaar tot ongeplande productie-uitval leidde. Een kwart van de bedrijven (24,6%) ondervond zelfs meerdere keren een productiestop. Dat terwijl nog eens 52,6 procent bevestigde dat ze minstens af en toe onderbrekingen ondervonden. In de productie zijn veel systemen tot op de millimeter nauwkeurig op elkaar afgestemd. Zelfs kleine softwarewijzigingen kunnen ertoe leiden dat interfaces niet meer soepel functioneren, processen vastlopen of machines tijdelijk stilvallen.
Dit benadrukt een fundamenteel dilemma. Maatregelen om de veiligheid te verhogen kunnen de beschikbaarheid in gevaar brengen.
De beste strategieën
Bedrijven gebruiken diverse strategieën om zich te beschermen tegen cyberaanvallen en technische storingen. Het vaakst maken ze gebruik van professionele kwetsbaarheidsanalyses en penetratietests door externe beveiligingsexperts. 54 procent gebruikt deze diensten regelmatig. Op de tweede plaats staan speciale back-upstrategieën voor productiesystemen (51,2%). In tegenstelling tot de IT op kantoor, gaat het hier niet alleen om data maar ook om systeemconfiguraties en machineparameters.
Gerichte training van medewerkers volgt op de derde plaats (46,4%). Een belangrijk onderdeel, aangezien veel incidenten worden veroorzaakt door menselijke fouten. Of het nu gaat om een onveilige USB-stick of een onzorgvuldig geopende e-mailbijlage. Daarnaast vertrouwt 38,9 procent van de bedrijven op beveiligingscentra (SOC/SIEM) die continu systeemactiviteiten monitoren en alarm slaan bij onregelmatigheden. 37 procent segmenteerde zijn netwerken zodat ze kritieke productieomgevingen scheiden van de rest van het bedrijfsnetwerk. Dit voorkomt dat aanvallers vanuit het bedrijfsnetwerk toegang krijgen tot de productieomgeving.
Externe ondersteuning speelt ook een belangrijke rol: 37,9 procent van de bedrijven wordt bij de beveiliging van hun systemen ondersteund door gespecialiseerde dienstverleners. Bijna een derde oefent bovendien regelmatig noodsituaties met behulp van nooddrills.
Modernisering onvermijdelijk
Veel bedrijven onderkennen nu een zwak punt dat ze in het verleden vaak over het hoofd zagen: hun partners in de toeleveringsketen. Meer dan de helft van de ondervraagden (57,3%) stelde inmiddels contractuele cybersecurity-eisen voor leveranciers op. Een derde deed dit (gedeeltelijk) en 8,5 procent denkt over soortgelijke overeenkomsten na.
Bijna twee derde (64,9%) van de bedrijven volgt het principe ‘contracten zijn goed, controles zijn beter’. Ze controleren regelmatig de IT-beveiliging van hun leveranciers en nog eens 19,4 procent doet dit minstens af en toe. Echter, 12,3 procent voert dergelijke controles helemaal niet uit, waardoor de deur openstaat voor potentiële aanvallers.
“Op de lange termijn moet iedereen zijn productielandschap moderniseren“, benadrukt Veit. “Het is cruciaal dat bedrijven zich bewust zijn van de huidige technische stand van zaken en consequent beveiligingsprocedures implementeren. Wie vooruit plant en stapsgewijs moderniseert, kan zijn productie op de lange termijn beschermen tegen moderne dreigingen. Dit zonder de stabiliteit op te offeren die de Duitse productiekwaliteit kenmerkt.”
Vijf maatregelen
Sophos adviseert vijf maatregelen voor meer cyberbeveiliging in productieomgevingen:
- Regelmatige updates: ze dichten beveiligingslekken en vormen een essentiële bouwsteen, ook al zijn ze soms storingsgevoelig.
- Stel een back-upstrategie op: maak regelmatig back-ups van productiegegevens en machineparameters, bij voorkeur los van het productienetwerk.
- Train medewerkers: Veel aanvallen beginnen bij mensen. Training maakt medewerkers bewust van de belangrijkste bronnen van gevaar.
- Controleer de toeleveringsketen: leveranciers maken deel uit van uw eigen beveiligingsnetwerk. Contracten en regelmatige controles zorgen voor betrouwbaarheid.
- De koppeling tussen IT en productie: Beveiliging kan alleen gezamenlijk worden bereikt. Regelmatige coördinatie helpt om risico’s in een vroeg stadium te herkennen.
