Beveiligingsprofessionals werken samen aan verdediging tegen toenemende cyberdreigingen in energie

In het verleden hoefden energieorganisaties en andere industriële operators zich alleen zorgen te maken over fysieke beveiliging. Nu de meeste industriële controlesystemen (ICS) op internet zijn aangesloten, moet de energiesector aandacht besteden aan nieuwe cyberdreigingen. We horen vaak over hackers die inbreken in computersystemen om gegevens te stelen, meestal voor financieel gewin. Met kritieke infrastructuur kunnen cyberaanvallen echter kritieke operaties verstoren, fysieke apparatuur beschadigen en zelfs levens veroorzaken. We zien hier steeds meer praktijkvoorbeelden van.

Op een recent historisch moment heeft de FBI en Department of Homeland Security een gezamenlijk rapport uitgegeven waarin een enorme Russische hackcampagne wordt beschreven om de kritieke infrastructuur van Amerika te infiltreren. Als eerste gaf de Amerikaanse regering de Russische regering publiekelijk de schuld van aanvallen op de energie-infrastructuur.

We hebben ook ontdekkingen gezien zoals Triton (ook bekend als Trisis), die vorig jaar een Saoedische petrochemische fabriek heeft gesloten en waarvan wordt aangenomen dat deze is ontworpen om een ​​explosie te veroorzaken. Zes maanden daarvoor kwam Industroyer, modulaire malware die ICS-systemen kan uitschakelen door met industriële communicatieprotocollen te praten en wiper-malware in te zetten.

Reageren op de dreiging

In Tripwire's enquête onder beveiligingsprofessionals in de energie-industrie, zei 59% dat hun bedrijven meer investeringen in beveiliging hebben gedaan vanwege ICS-gerichte aanvallen zoals Trisis/Triton, Industroyer/CrashOverride en Stuxnet. Velen hebben echter het gevoel dat ze nog steeds niet het juiste investeringsniveau hebben om de ICS-beveiligingsdoelen te halen.

Meer dan de helft (56%) van de respondenten van de Tripwire-enquête was van mening dat er een aanzienlijke aanval nodig zou zijn om hun bedrijven ertoe te brengen op de juiste manier in beveiliging te investeren. Dit is misschien de reden waarom slechts 35% van de deelnemers een meerlagige benadering van ICS-beveiliging kiest - algemeen erkend als een best practice. 34% zei dat ze zich voornamelijk richtten op netwerkbeveiliging en 14% op ICS-apparaatbeveiliging.

De andere uitdaging in industriële cyberbeveiliging is organisatorisch:de al lang bestaande kloof tussen informatietechnologie (IT) en operationele technologie (OT) teams. Volgens de Tripwire-enquête zei 73% van de deelnemers echter dat hun IT- en OT-teams nu beter samenwerken dan in het verleden.

Organisaties realiseren zich dat ze geen andere keuze hebben dan hun teams te laten samenwerken nu de dreiging van een aanval blijft toenemen. In het onderzoek waren IT- en OT-teams op één lijn over wat er zou kunnen gebeuren als ze de industriële beveiliging niet goed krijgen, zoals operationele sluiting en de veiligheid van hun werknemers.

Hoewel de samenwerking zeker verbetert, suggereerden de meeste van onze enquêterespondenten dat IT nog steeds het initiatief neemt. Op de vraag of IT- of OT-teams het voortouw nemen op het gebied van ICS-beveiligingsbehoeften, antwoordde 50% van de deelnemers aan IT, 35% zei dat het gelijk verdeeld was tussen IT en OT en 15% zei OT.

Het is niet verwonderlijk dat IT-teams het voortouw nemen, aangezien ze doorgaans meer geschiedenis hebben met cyberbeveiliging. De digitale dreiging is relatief nieuw voor de OT-kant van het huis. Dat gezegd hebbende, operationele omgevingen zijn heel anders dan IT-omgevingen, en succesvolle geconvergeerde teams laten hun OT-tegenhangers leiden wanneer ze de expertise hebben. Partnerschap van het OT-team is absoluut cruciaal bij het implementeren van een ICS-beveiligingsprogramma dat de activiteiten niet verstoort.

Een aanpak in drie stappen om diepgaande verdediging op te bouwen:

Hoewel het niet zo eenvoudig is als 1-2-3, kunnen organisaties industriële cyberbeveiliging in drie stappen benaderen:

Beveilig eerst het netwerk. Organisaties moeten netwerken segmenteren door de ISA IEC 62443-standaard te implementeren, alle draadloze toepassingen te beveiligen en veilige oplossingen voor externe toegang in te zetten voor probleemoplossing en probleemoplossing. Bedrijven moeten ook hun netwerken bewaken, inclusief apparatuur voor industriële netwerkinfrastructuur.

Ten tweede, beveilig de eindpunten. Dit kan beginnen met investeren in asset discovery en het maken van een inventaris van endpoints op het netwerk. Organisaties moeten er vervolgens voor zorgen dat eindpunten veilig worden geconfigureerd en gecontroleerd op wijzigingen.

Ten derde, beveilig de controllers. Bedrijven kunnen ICS beter beschermen door de detectiemogelijkheden en de zichtbaarheid van het netwerk te verbeteren door beveiligingsmaatregelen voor kwetsbare controllers te implementeren, door te controleren op verdachte toegang en wijzigingscontrole, en door bedreigingen tijdig te detecteren/beperken.

De fysieke en digitale wereld blijven convergeren, wat nieuwe kansen met zich meebrengt voor een betere productiviteit en geoptimaliseerde operaties. Het is echter belangrijk om beveiliging te integreren in het digitale transformatietraject om kritieke infrastructuur te beschermen tegen nieuwe digitale bedreigingen.