Meld oproepen tot dringende actie om de cyberdreiging voor kritieke infrastructuur het hoofd te bieden

Wereldwijde liefdadigheidsinstelling voor veiligheid, Lloyd's Register Foundation lanceerde vandaag een rapport genaamd Operational Cyber ​​Security for the Industrial Internet of Things:Challenges and Opportunities. Het wijst op een dreigende bedreiging voor kritieke infrastructuur door cyberaanvallen, gezien de groeiende afhankelijkheid van het Internet of Things (IoT), zegt Robert Hannigan, executive voorzitter internationaal bij BlueVoyant en Sadie Creese, hoogleraar Cyberbeveiliging, Afdeling Computerwetenschappen, Universiteit van Oxford.

Het rapport richt zich specifiek op de inherente risico's voor Industrial IoT (IIoT), dat snel een kernonderdeel wordt van kritieke wereldwijde infrastructuren, in sectoren zoals energie, transport, de gebouwde omgeving en fysieke infrastructuur, en productie. Veiligheid is met name van cruciaal belang in IIoT-omgevingen en daarom is het essentieel om te begrijpen hoe veilige en veerkrachtige infrastructuren kunnen worden geleverd.

Het IIoT vergroot ook de bestaande beveiligingsuitdagingen. Het rapport is bedoeld om prioriteit te geven aan maatregelen door de belangrijkste opkomende risico's en hiaten in de capaciteit te identificeren waarvoor het huidige tempo van veranderingen in operationele cyberbeveiliging niet voldoende zal zijn. In deze omgevingen kunnen de gevolgen van falen systemisch zijn, en het rapport roept op tot de dringende goedkeuring door de IIoT-gemeenschap van leidende principes om de weerbaarheid tegen cyberaanvallen te vergroten.

Het rapport wijst op de verschillende perspectieven van degenen die verantwoordelijk zijn voor risicobeheer binnen de industrie, waaronder operationele en bestuursleden, bedrijven en regelgevers, inkoop- en cyberbeveiligingsteams, en biedt een nuttig overzicht om het cyberbewustzijn voor iedereen te vergroten.

De kernbevinding van het rapport is dat het huidige tempo van veranderingen niet zal passen bij de snelle opkomst van nieuwe beveiligingsbedreigingen voor IIoT-omgevingen. De huidige mogelijkheden, zo stelt het rapport, zijn ofwel niet schaalbaar, zijn niet getest of bestaan ​​eenvoudigweg nog niet. Het rapport wijst bovendien op het naderende omslagpunt voor herstel van cyberaanvallen, en de uitdagingen voor mentaliteit, regelgeving en verzekeringen die preventieve beveiligingspraktijken kunnen opbouwen.

Hoewel regelgeving, de vereisten van aanbieders van cyberverzekeringen en de adoptie van een cyberbeveiligingsmentaliteit binnen organisaties vooruitgang kunnen boeken bij het overbruggen van hiaten in de operationele capaciteit en het ontwikkelen van risicocontroles die zich effectief vertalen in het IIoT, zijn er nieuwe, dringende uitdagingen om het hoofd te bieden.

Het beheer van cyberbeveiligingsrisico's voor traditionele systemen staat al voor veel uitdagingen. Deze omvatten de enorme moeilijkheid om de gecompliceerde relaties tussen technische en menselijke systemen in kaart te brengen, en de uitdagingen van communicatie tussen verschillende gemeenschappen waar de kaders voor het begrijpen van risico's fundamenteel verschillend zijn.

Veel van deze bestaande uitdagingen zullen blijven bestaan ​​en worden verergerd, en er zullen nieuwe ontstaan, aangezien risicobeheerbenaderingen worden vertaald in het IIoT, waardoor belangrijke lacunes in de capaciteit ontstaan.

Naast het onderzoeken van deze uitdagingen naarmate IIoT zich uitbreidt, gaat het rapport dieper in op bruikbare bevindingen, waaronder:

1. Houd altijd rekening met de gevolgen van schade bij het plannen van risicobeheer
2. Bedenk hoe beveiligingscontroles kunnen mislukken als u het gebruik van IoT-apparaten verhoogt
3. Gebruik technieken die u een continue beoordeling van uw functie kunnen bieden (bijna realtime) in plaats van periodieke beoordelingen
4. Overweeg hoe uw toeleveringsketens IoT gebruiken:beschouw hun falen om cyberbeveiliging te handhaven als een risico voor uw plannen voor beveiligingsrisicobeheer
5. Investeer in forensische gereedheidsprocessen
6. Neem een ​​overweging van toekomstige scenario's op in uw risicobeoordelingen
7. Investeer in training voor personeel over IoT-standaarden en goede praktijken
8. Samenwerken om een ​​apparaatinterfaceprotocol tot stand te brengen voor het delen van informatie over beveiligingsmonitoring

De auteurs zijn Robert Hannigan, executive voorzitter internationaal bij BlueVoyant en Sadie Creese, professor in cyberbeveiliging, Department of Computer Science, University of Oxford.

Over de auteurs

Robert Hannigan, uitvoerend voorzitter internationaal bij BlueVoyant , voormalig directeur van GCHQ, de Britse veiligheidsorganisatie, en co-auteur van het rapport, zegt:“De afgelopen jaren hebben we een toename gezien van opzettelijke aanvallen gericht op kritieke infrastructuren over de hele wereld. Aangezien de acceptatie van IoT in de industriële sector blijft groeien, zijn duidelijke actie en begeleiding nodig. Ons rapport schetst de context van IIoT, de dreigende problemen waarmee belangrijke infrastructuur wordt geconfronteerd omdat ze steeds meer afhankelijk zijn van verbonden systemen, en mogelijke oplossingen om te beschermen tegen cyberincidenten."

Sadie Creese, hoogleraar Cyberbeveiliging, Department of Computer Science, University of Oxford en co-auteur, voegt hieraan toe:"We moeten veerkrachtige infrastructuren bouwen die de veiligheid garanderen van het steeds groter wordende verbonden netwerk van 'dingen'. Er is duidelijk dringend behoefte aan verder onderzoek om de prestaties van risicobeheersing te begrijpen en aan te tonen; aansprakelijkheidsmodellen, praktische aspecten en implicaties voor IoT-markten onderzoeken; en om internationale samenwerking te ontwikkelen om vertrouwen op te bouwen in de IIoT-toeleveringsketen.”