Onderzoek - Beveiliging van Industriële Controlesystemen. België 2014 Geschreven door Stephen Smith Nagelezen door Anja Van Geert

Onderzoek - Beveiliging van Industriële Controlesystemen België 2014

Geschreven door Stephen Smith Nagelezen door Anja Van Geert

Inhoudstafel Inleiding

4

Samenvatting

5

Aanpak van het onderzoek

6

1. Algemene informatie uit het onderzoek

7

1.1 Informatie over de deelnemende bedrijven

7

1.2 Het belang van industriële controlesystemen binnen de organisatie

8

1.3 Besef van de risico’s van cyberdreigingen

10

2. Veiligheidsprogramma voor industriële controlesystemen

11

3. Veiligheidsmaatregelen en veiligheidstoepassingen voor industriële controlesystemen

15

4. Conclusie

15

Over de auteur

18

Dankwoord

18

Nuttige bronnen

19

ONDERZOEK - BEVEILIGING VAN INDUSTRIËLE CONTROLESYSTEMEN

ONRIX

3

Inleiding Het is onmogelijk om niet stil te staan bij potentiële bedreigingen voor digitale apparaten en systemen wanneer je mensen en organisaties helpt die deze risico’s trachten te beperken. Je bent je ook snel bewust dat, binnen de meeste organisaties, de inspanningen nodig om systemen te beveiligen groter zijn dan de inschatting van de reële gevaren. Die gedachte, in combinatie met andere onderzoeken zoals het SANS SCADA en de Process Control Security Survey *, zorgde ervoor dat ik nieuwsgierig werd naar de lokale maturiteit en paraatheid ten opzichte van dergelijke risico’s. Ik wilde de Belgische situatie kennen en besloot een onderzoek te doen om de situatie beter te begrijpen en ook het bewustzijn rond deze problematiek te verhogen. De term industriële controlesystemen verwijst naar digitale systemen die gebruikt worden in productieomgevingen. Dergelijke systemen controleren operationele activiteiten. Ze worden ook gebruikt om alarmsystemen, beveiligingssystemen en tal van andere functies in de gaten te houden. Industriële controlesystemen worden geleidelijk aan meer afhankelijk van ‘standaard’ IT-technologie: dingen als Microsoft Windows, TCP/IP, webbrowsers en draadloze netwerken. Zij vervangen steeds vaker de conventionele ‘proprietary’ systemen. Oudere industriële systemen worden vervangen of krijgen een upgrade met ‘off the shelf’ software. Veel van de standaard IT-beveiligingsmaatregelen zijn moeilijk toe te passen in industriële omgevingen. Daarom is de kans reëel dat er onvoldoende veiligheidsmaatregelen aanwezig zijn die de controlesystemen beschermen en zo de industriële omgeving veilig houden. Vandaag de dag wordt Windows XP nog steeds veel gebruikt in industriële omgevingen. Het stopzetten van de ondersteuning van de Windows XP-systemen op 8 april 2014 zorgt ervoor dat het beveiligingsprobleem groter wordt. Microsoft levert immers geen updates meer om beveiligingsproblemen verbonden aan het systeem op te vangen. Dat maakt het voor personen en organisaties makkelijker om malware en/of cyberaanvallen voor te bereiden en hun slag thuis te halen. Nu een groot aantal rapporten over cyberdreigingen wijzen op een stijging van het aantal cyberincidenten, hebben bedrijven die gebruik maken van IT voor kritische operationele doeleinden nochtans nood aan verhoogde waakzaamheid. Een gebrek aan adequate beveiliging tegen cyberdreigingen vormt een groot probleem voor een groot aantal bedrijven in België. Dit hoeft niet noodzakelijk het geval te zijn, zolang organisaties zich bewust zijn van het gevaar en zich op een georganiseerde manier gaan beveiligen tegen bestaande cyberdreigingen.

4

*SANS Scada and Process Control Security Survey (February 2013)

ONRIX ONDERZOEK - BEVEILIGING VAN INDUSTRIËLE CONTROLESYSTEMEN

Samenvatting Verlies van digitale functionaliteit en onbeschikbaarheid van computersystemen kan in bepaalde gevallen een directe financiële impact hebben en zware schade veroorzaken. Daarom zijn cyberdreigingen een groeiend wereldwijd gevaar voor IT-systemen, en zeker voor industriële controlesystemen. De steeds verdergaande digitalisering en automatisering zal het gevaar nog vergroten, want meer en meer systemen zullen met elkaar verbonden worden en zijn zo kwetsbaar voor een aanval. Organisaties die nieuwe systemen aanschaffen zullen meer eisen moeten stellen op vlak van beveiliging. Zowel aan verkopers als aan integratoren en consultants die deze systemen installeren. Van de bijna 100 deelnemers aan het onderzoek laten er 63 verstaan dat hun industriële controlesystemen erg belangrijk of zelfs cruciaal zijn voor de werking van hun bedrijf. Meer dan de helft vertelt dat een onderbreking of onbeschikbaarheid van die systemen de werking van het bedrijf ernstig zou verstoren. Toch ziet slechts een kwart van de respondenten een upgrade of uitbreiding van de systemen in de komende vijf jaar. Het uitgebreide gebruik van Windows XP in industriële omgevingen vergroot het risico voor deze systemen nog aanzienlijk, aangezien de ondersteuning van het besturingssysteem officieel wordt stopgezet op 8 april 2014. Dit onderzoek toont aan dat bedrijven in België slechts een beperkt zicht hebben op de risico’s die industriële controlesystemen lopen. Bedrijven die actief bezig zijn met het beperken van de risico’s zijn meestal multinationals of grote bedrijven, bedrijven uit sectoren die specifieke eisen stellen op vlak van kwaliteit en compliance en bedrijven uit sectoren met een kritische infrastructuur (zoals energie, transport, water en afvalbeheer). Middelgrote en kleine bedrijven lopen het meeste risico wat betreft cyberdreigingen. De impact die een verstoring of het hacken van een industrieel controlesysteem zou hebben, is verschillend voor de respondenten. De belangrijkste bezorgdheden zijn materiële schade, verlies of uitlekken van informatie en gezondheids- en veiligheidsrisico’s. Een aantal respondenten wijst ook op het verlies aan (meerdere dagen) productietijd, financieel verlies en tijdelijke sluitingen. Verschillende bedrijven geven ook schade aan het milieu als mogelijke impact. Het herstellen van systemen na een cyberincident is cruciaal willen bedrijven verliezen beperken en grotere schade vermijden. Ook hieraan moet meer aandacht besteed worden, want het testen van herstelplannen is eerder uitzondering dan regel. Daarnaast moeten cyberincidenten gedocumenteerd en gerapporteerd worden, zodat men eruit kan leren. Dat betekent ook rapportage aan het federale cyber emergency team (CERT.be), zodat zij trendanalyses kunnen maken. Op die manier kunnen bij andere bedrijven eventueel problemen voorkomen worden. Het onderzoek toont aan dat bepaalde bedrijven wel degelijk inspanningen leveren om zichzef beter te beveiligen. Maar er is nog een lange weg te gaan. Bedrijven moeten zich beter bewust zijn van het probleem. Het gevecht tegen cybercriminaliteit mag niet gezien worden als een eenmalige inspanning. Veiligheid is een proces waarbij voortdurend aandacht moet besteed worden aan risico’s en waarbij verbeteringen moeten aangebracht worden die rekening houden met technologische ontwikkelingen en de geslepenheid van daders. Hopelijk biedt dit onderzoek inzicht in de stappen die nodig zijn en overtuigt het meer bedrijven om de risico’s die cyberdreigingen met zich mee brengen serieus te nemen.


ONRIX

5

Aanpak van het onderzoek Doelstelling De belangrijkste doelstelling van het onderzoek is inzicht te krijgen in de maturiteit van Belgische bedrijven wanneer het gaat om de gevaren van cyberdreigingen voor industriële controlesystemen.

Deelnemers 150 bedrijven die in België gevestigd zijn (multinationals, BEL20-bedrijven, KMO’s) en gebruik maken van industriële controlesystemen in hun operationele en productieomgeving werden gecontacteerd. Het initiële contact was bedoeld om de doelstelling van het onderzoek duidelijk te maken en te kijken welke persoon binnen de organisatie het best geschikt was om de vragen uit het onderzoek te beantwoorden. De resultaten van het onderzoek zijn gebaseerd op de antwoorden van 95 respondenten, van wie er 67 aangaven dat ze industriële controlesystemen gebruiken bij het dagelijkse werk.

Aanpak Omdat bij onderzoeken naar beveiliging altijd sprake is van vertrouwelijke informatie, werd het volledig onderzoek gedaan op basis van telefonische interviews.

Vragenlijst De vragenlijst bevatte drie reeksen vragen. De eerste reeks vragen was gericht op algemene informatie over de organisatie, bewustzijn omtrent het gevaar van cyberdreigingen en het belang van industriële controlesystemen. De tweede reeks vragen (67 respondenten) legde de focus op organisatorische bezorgdheden omtrent beveiliging van industriële controlesystemen. De derde reeks vragen was bedoeld voor deelnemers (28 respondenten) die wilden vertellen over de veiligheidsmaatregelen die zij al toepassen in hun productieomgevingen.

Dankwoord Ik wil van deze gelegenheid gebruik maken om alle respondenten te bedanken voor de tijd en moeite die zij staken in dit onderzoek. Zonder hun medewerking zou dit onderzoek nooit kunnen helpen om Belgische bedrijven bewust te maken van de risico’s die hun industriële controlesystemen lopen

6


1

Algemene informatie uit het onderzoek 1.1 Informatie over de deelnemende bedrijven Het onderzoek spitst zich toe op sectoren waarbij de operationele en productieomgevingen voor een belangrijk deel afhankelijk zijn van industrële automatisering.

IN WELKE SECTOR IS UW BEDRIJF ACTIEF? Eten en Drinken Chemie Productie Farma Textiel Bouw Energie Logistiek Medisch Metaal Openbaar vervoer Waterbeheer

Infografiek 1: Bedrijfssector

De sectoren ‘productie’ (32%) en ‘eten en drinken’ (31%) zijn het best vertegenwoordigd, maar bedrijven uit een groot aantal sectoren namen deel aan het onderzoek. De bedrijven verschillen in grootte, gaande van multinationals met meer dan 1000 medewerkers (24%), over grote en middelgrote bedrijven met 100 tot 1000 medewerkers (30%), tot kleine bedrijven met minder dan 100 medewerkers (45%).

AANTAL MEDEWERKERS IN UW BEDRIJF? < 100 medewerkers 100 tot 499 medewerkers 500 tot 1000 medewerkers > 1000 medewerkers

Infografiek 2: Bedrijfsgrootte


ONRIX

7

1 De respondenten die deelnamen aan het onderzoek hadden heel verschillende rollen binnen het bedrijf. Om de analyse te vereenvoudigen, werden respondenten met vergelijkbare rollen samengevoegd in een aantal categorieën. De grootste groep is overduidelijk aan de slag in operations of productie (57%), gevolgd door een groep algemeen management (eigenaars en directeurs), goed voor 15% van de respondenten. IT, technische en onderhoudsprofielen maken 14% van de respondenten uit. Interessant is dat geen van de respondenten veiligheid aangaf als een primaire rol.

FUNCTIE Eigenaar / Directeur Operationeel / Productie IT / Technisch / Onderhoud Aankoop / Magazijn / Logistiek Commercieel / Klantendienst Kwaliteit / Gezondheid en Veiligheid

Infografiek 3: Functietitel van de respondenten

1.2

Het belang van industriële controlesystemen binnen de organisatie De graad van industriële automatisering bij de deelnemende bedrijven is belangrijk, want het is een indicatie van hoe afhankelijk zij zijn van deze systemen. 40 procent van de respondenten geeft aan dat er ofwel een groot aantal industriële systemen gebruikt wordt ofwel dat de hele productieomgeving geautomatiseerd is. Nog eens 20% geeft aan dat het productieproces deels geautomatiseerd is. 10% daarvan vertelt dat het gaat om op zichzelf staande systemen, die niet verbonden zijn met een netwerk. De overblijvende respondenten vermelden geen automatisering in hun productieomgeving. Zij gebruiken allicht software of toepassingen die niet gezien worden als industriële systemen (zoals toegangscontrole, branddetectie, enz), operationele systemen voor logistiek, andere analytische toepassingen of manuele handelingen. GEBRUIKT UW BEDRIJF INDUSTRIËLE CONTROLESYSTEMEN? Geen automatisering Gedeeltelijke automatisering Nagelnoeg volledig geautomatiseerd Op zichzelf staande automatisering

Infografiek 4: Gebruik van industriële controlesystemen

8


1 40% van de respondenten omschrijft de industriële controlesystemen als cruciaal voor de dagelijkse werking van het bedrijf. Nog eens een kwart van de respondenten geeft aan dat de systemen erg belangrijk of redelijk belangrijk zijn voor de werking van het bedrijf. Een derde stelt dat het belang van de systemen beperkt of onbestaande is. Een cijfer dat mooi overeenkomt met de groep respondenten die aangeeft geen automatisering te hebben binnen de productieomgeving. Bedrijven die aangeven dat industriële controlesystemen cruciaal zijn voor hun bedrijf zijn verspreid over verschillende sectoren en hebben een verschillende omvang (van multinationals tot KMO’s). ZIJN INDUSTRIËLE CONTROLESYSTEMEN BELANGRIJK VOOR DE DAGELIJKSE WERKING VAN UW BEDRIJF? Niet belangrijk Weinig belangrijk Belangrijk Zeer belangrijk Cruciaal

Infografiek 5: Belang van industriële controlesystemen

Meer dan de helft van de respondenten geeft aan dat er in het komende jaar geen concrete plannen zijn voor een upgrade of uitbreiding van de bestaande industriële controlesystemen. Slechts een kwart stelt upgrades of uitbreidingen voorop binnen een termijn van vijf jaar. Dit doet vragen rijzen over de manier waarop bedrijven de veiligheid van hun bestaande systemen zullen verzekeren. Bij de KMO’s met minder dan 100 medewerkers geeft zelfs 30% aan niet op korte termijn te investeren in toekomstige upgrades of aankopen. ZAL U UW INDUSTRIËLE CONTROLESYSTEMEN UITBREIDEN OF UPGRADEN? Weet ik niet Geen onmiddellijke plannen Binnen het jaar Binnen 1 tot 5 jaar

Infografiek 6: Geplande upgrades en uitbreidingen van industriële controlesystemen


ONRIX

9

1 1.3 Besef van de risico’s van cyberdreigingen Het besef van de risico’s van cyberdreigingen bij respondenten was lager dan verwacht, zeker gezien de grote media-aandacht voor cybersecurity en cyberdreigingen. Een derde van de respondenten vindt dat zijn sector goed op de hoogte is van cyberrisico’s. 20% vindt die kennis binnen de sector niet adequaat genoeg. Er er dus nog heel wat onzekerheid als het gaat om de inschatting en kennis van de risico’s die cyberdreigingen met zich mee brengen. ZIJN BEDRIJVEN IN UW SECTOR ZICH BEWUST VAN DE GEVAREN VAN CYBERDREIGINGEN? Geen antwoord Ik ben niet zeker Niet bewust Deels bewust Absoluut

Infografiek 7: Besef van de risico’s van cyberdreigingen

Met het besef omtrent cyberbedreigingen specifiek voor industriële controlesystemen is het nog erger gesteld. De helft van de respondenten denkt dat bedrijven in hun sector niet op de hoogte zijn van de risico’s die cyberdreigingen met zich mee brengen. Slechts 10% durft te stellen dat die risico’s wél voldoende gekend zijn binnen de sector. Het ging hier vooral om multinationals en bedrijven die ervaring hebben met veiligheid en risk management (zoals bedrijven uit sectoren met een kritische infrastructuur). Opvallend: bijna de helft van de bedrijven die aangeven dat hun sector niet voldoende op de hoogte is, komt uit de sector ‘eten en drinken”. ZIJN BEDRIJVEN IN UW SECTOR ZICH BEWUST VAN DE GEVAREN VAN CYBERDREIGINGEN VOOR INDUSTRIËLE CONTROLESYSTEMEN? Geen antwoord Ik denk het niet Ik denk het wel Absoluut

Infografiek 8: Besef van de risico’s cyberdreigingen voor industriële controlesystemen

10


2

Veiligheidsprogramma voor industriële controlesystemen Dit deel van het onderzoek focust op de organisatorische paraatheid van bedrijven op vlak van beveiliging van industriële controlesystemen. Daarom wordt enkel gebruik gemaakt van de resultaten van de respondenten die aangeven dat ze industriële controlesystemen in gebruik hebben in hun bedrijf. In dit deel wordt dus enkel rekening gehouden met de antwoorden van 67 respondenten, in plaats van de 95 respondenten uit het vorige deel. Gevraagd naar de potentiële impact die de onbeschikbaarheid van de industriële controlesystemen zou hebben, geeft meer dan drie kwart van de respondenten aan dat die impact middelmatig tot hoog is. De overblijvende respondenten vinden de impact eerder laag of zijn onzeker over de impact. De respondenten zijn evenwaardig verdeeld doorheen sectoren en bedrijfsgroottes. HOE GROOT IS DE IMPACT VAN ONBESCHIKBAARHEID VAN UW INDUSTRIËLE CONTROLESYSTEMEN? Geen antwoord Ik weet het niet Laag Gemiddeld Hoog

Infografiek 9: Impact onbeschikbaarheid industriële controlesystemen

Daarna werd aan de respondenten gevraagd drie redenen voor bezorgdheid aan te geven bij een verstoring van hun industriële controlesystemen. Alle respondenten vermelden materiële schade (fysieke schade aan systemen, machines, producten, enz.), verlies of uitlekken van informatie en gezondheids- en veiligheidsrisico’s als belangrijkste zorgen. Daarnaast is er ook bezorgdheid omtrent productiviteitsverlies, schade aan het milieu en financieel verlies. Eén respondent vermeldt specifiek het gebrek aan kwaliteitscontrole, al zal dit voor andere respondenten mogelijk in de categorie materiële schade vervat zitten. Het hoeft niet gezegd dat een verstoring van de industriële controlesystemen sowieso zorgt voor een of andere vorm van financieel verlies. WELKE IMPACT ZOU EEN VERSTORING VAN UW INDUSTRIËLE CONTROLESYSTEMEN HEBBEN?

s t s nie ies de rlie ha et erl tie s- en’s rlie sve c v h a e t s i l t v d u e te iee sc orm ghei risico iteits lie we ali nc le i inf Mi Ik Kw rië eil eids uctiv ina an V e F v t h d s d o Ma Pr rlie zon Ve ge Infografiek 10: Impact verstoring industriële controlesystemen e

d ha


ONRIX

11

2 De aanwezigheid van formele regels en procedures zijn een indicatie van de maturiteit van een bedrijf ten aanzien van IT security. Uit het onderzoek blijkt dat de helft van de bedrijven over formele regels en procedures beschikt. Dit vooral vanuit veiligheidsverplichtingen of verplichte kwaliteitscontroles eigen aan de sector (bv. “eten & drinken”). 39% heeft geen formele regels of procedures die bepalen hoe er omgegaan wordt met cyberdreigingen voor hun IT-systemen, inclusief de industriële controlesystemen. Dat betekent niet dat er geen veiligheidsmaatregelen van kracht zijn. Een aantal respondenten geeft aan dat er wel degelijk veiligheidsmaatregelen genomen worden, maar dat dit niet op een formele manier verloopt. HEEFT UW BEDRIJF OFFICIËLE REGELS EN PROCEDURES OP VLAK VAN IT SECURITY? Geen antwoord Nee Gedeeltelijk Ja

Infografiek 11: Formele regels en procedures voor IT security

Gevraagd naar hun strategie en aanpak op vlak van IT security vertelt bijna drie kwart van de respondenten dat die volledig intern bepaald wordt. Bij de overige respondenten is er externe ondersteuning van verkopers van het systeem (15%) of specialisten (6%). Er is geen indicatie van een voorkeur voor externe ondersteuning bij multinationals of grote bedrijven, noch is er een voorkeur binnen specifieke sectoren. WIE IS BEZIG MET DE IT-SECURITY STRATEGIE VAN UW BEDRIJF?

Geen antwoord Andere Intern Verkoper Specialist

Infografiek 12: Visie op IT security voor industriële controlesystemen

12


2 Wanneer gepolst wordt naar de redenen om veiligheidsdoelstellingen in te voeren weet 40% dat dit is om ongeoorloofde toegang tot de systemen te beperken, 9% geeft aan dat dit is om best practices op vlak van security te volgen en 6% is bezorgd om besmetting met malware. Een alarmerende 30% weet echter geen antwoord te geven of is onzeker over de redenen waarom het bedrijf bepaalde veiligheidsvereisten vooropstelt. Compliance (13%) wordt ook als een veiligheidsdoelstelling vermeld, al is het duidelijk dat louter compliance geen bescherming biedt tegen cyberdreigingen. WAT IS DE BELANGRIJKSTE VEILIGHEIDSDOELSTELLING VOOR UW INDUSTRIËLE CONTROLESYSTEMEN? Geen antwoord Ik weet het niet Compliance Best practices uit de sector Ongeoorloofde toegang beperken Beschermen tegen malware

Infografiek 13: IT-veiligheidsdoelstellingen

Het onderzoek toont aan dat heel wat verschillende profielen een rol spelen in het bepalen van veiligheidsmaatregelen voor industriële controlesystemen. Meer dan de helft van de respondenten geeft aan dat dit de taak is van de IT-afdeling. Andere profielen die worden vermeld zijn sterk gelinkt aan de bescherming van industriële systemen: fabrieksmanagers, technische managers of ingenieurs. 4% doet een beroep op externe ondersteuning van systeemverkopers of consultants. De categorie ‘overige’ is een mix van verschillende rollen. Dit is niet verrassend, omdat in kleine en middelgrote bedrijven personen vaak meerdere rollen krijgen toebedeeld. WIE IS VERANTWOORDELIJK VOOR DE VEILIGHEID VAN DE INDUSTRIËLE CONTROLESYSTEMEN?

afd

IT-

g

n eli

re

A

e nd

nt

Pla

r

ge

a an

m

Te

he

isc

n ch

t

er

ag

n ma

er

p rko Ve

an ult

/C

s on

E

g

rin

ee

in ng

Infografiek 14: Verantwoordelijkheid voor veiligheid


ONRIX

13

2 Bij de vraag naar het aankoopproces van nieuwe industriële controlesystemen geeft ongeveer de helft van de respondenten aan dat goede beveiliging van middelmatig tot groot belang is. Een vijfde vertelt dat dit minder belangrijk is en nog eens een vijfde weet niet of beveiliging een belangrijke factor is bij de aankoop van nieuwe systemen. Het feit dat de beveiliging niet volledig geïntegreerd is over de verschillende departmenten heen, wijst nogmaals op een gebrek aan maturiteit op vlak van security. Een gebrek aan veiligheidsvereisten op het niveau van aankopen wijst ook op een potentieel gebrek aan aandacht voor contractuele aansprakelijkheid bij cyberincidenten. HOE BELANGRIJK IS VEILIGHEID BIJ DE AANKOOP VAN INDUSTRIËLE CONTROLESYSTEMEN? Geen antwoord Ik weet het niet Laag Gemiddeld Hoog

Infografiek 15: Het belang van beveiliging bij de aankoop van nieuwe industriële controlesystemen

Het onderzoek vroeg ook naar de herstelplannen en -procedures van de respondenten in geval van systeemstoringen of rampen. Meer dan 70% van de respondenten heeft weet van bepaalde acties – back-ups of vervanging van machines – die voorzien zijn. Maar slechts 12% bevestigt het testen van deze herstelprocedures. Nochtans is dit een onontbeerlijke vereiste om continuïteit te kunnen verzekeren. Dit kan dan ook een negatieve impact hebben op de betrouwbaarheid van informatie en voor problemen zorgen bij zware incidenten die zorgen voor onbeschikbaarheid van systemen. HEEFT UW BEDRIJF PROCEDURES VOOR HET GEVAL ER EEN VERSTORING IS VAN DE INDUSTRIËLE CONTROLESYSTEMEN?

Geen antwoord Ik weet het niet Niet nodig Reserveonderdelen en -machines Back-ups Procedures worden getest

Infografiek 16: Herstelplannen en – procedures bij systeemstoringen of rampen

14


3

Veiligheidsmaatregelen en veiligheidstoepassingen Het onderzoek voorzag een derde reeks meer technische vragen voor deelnemers die wilden vertellen over de veiligheidsmaatregelen die zij al toepassen in hun productieomgevingen. Van de 67 respondenten met industriële controlesystemen zijn er 28 die deze derde reeks van vragen hebben ingevuld. De respondenten komen uit bedrijven van diverse groottes en uit verschillende sectoren, al is de sector ‘eten en drinken’ wel in de meerderheid. In dit deel van het onderzoek wordt geen gebruik gemaakt van percentages, maar wordt wel het aantal respondenten vermeld dat specifieke antwoorden gaf op de verschillende vragen. Daarop volgt een korte commentaar over hoe de maatregelen en toepassingen dienen begrepen te worden en hoe ze effectiever kunnen toegepast worden.

1

Hoe oud zijn uw huidige industriële controlesystemen? Resultaten De systemen van de grootste groep respondenten (13) zijn tussen 5 en 10 jaar oud. 6 respondenten geven aan dat hun systemen minder dan 5 jaar oud zijn, bij 5 andere respondenten zijn de systemen ouder dan 15 jaar. Commentaar Hoewel het tot nu toe niet ongewoon was dat industriële controlesystemen 10 tot 15 jaar in gebruik zijn, wordt dit in de toekomst gevaarlijker door het groeiende gebruik van standaard softwarepakketten in de productieomgeving. Alle machines die werken met het Windows XP-besturingssysteem bijvoorbeeld, worden als verouderd beschouwd vanaf 8 april 2014. Dat wil niet zeggen dat ze niet langer functioneren, maar wel dat Microsoft vanaf die dag niet langer voor ondersteuning of updates zorgt. Dit zal uiteraard een impact hebben op de veiligheid van het systeem en zal de risico’s voor malware en hacking doen toenemen.

2

Zijn uw industriële controlesystemen gelinkt aan uw bedrijfsnetwerk? Resultaten Bij 11 respondenten is er geen verbinding tussen het bedrijfsnetwerk en de productieomgeving, bij 16 respondenten is er op zijn minst een bepaalde interconnectiviteit tussen beide. Commentaar Een van de grootste bedreigingen voor industriële controlesystemen is toegankelijkheid door onbevoegden. Wanneer een systeem verbonden is met een netwerk, kan iedereen die toegang heeft tot dat netwerk of ermee gelinkte netwerken, in principe toegang krijgen tot dat systeem. Het is belangrijk dat industriële controlesystemen worden vergrendeld (beperkte fysieke en netwerktoegang) en dat alle toegang tot het systeem systematisch en strikt wordt gecontroleerd.


ONRIX

15

3 3

Is toegang vanop afstand mogelijk voor onderhoud of ondersteuning van uw industriële controlesystemen? Resultaten 17 respondenten geven aan dat er een of andere vorm van toegang op afstand mogelijk is op hun systemen. 8 respondenten weten dat toegang op afstand niet toegelaten is op hun systemen. Commentaar Toegang op afstand wordt meestal gebruikt voor beheer en ondersteuning door systeemverkopers. Het kanaal om toegang te krijgen (ADSL, modem, enz.) moet goed beveiligd en gecontroleerd worden om de kans op cyberdreigingen te beperken. Als dat niet gebeurt en er is geen controle, zet het bedrijf de deur open om van buitenaf toegang te krijgen tot bedrijfskritische systemen in hun productieomgeving. Het is belangrijk om te onthouden dat machines en netwerken van derde partijen niet te controleren vallen en dat er dus strikte toegangsregels nodig zijn.

4

Hebben onderdelen of machines van uw industriële controlesystemen toegang tot het internet of e-mail? Resultaten 24 respondenten zeggen dat internettoegang en e-mail niet toegestaan zijn op machines van de industriële controlesystemen. Er zijn evenwel respondenten (3) bij wiens bedrijf dit wel is toegestaan. Commentaar De grootste veiligheidsrisico’s, zeker als het gaat om hacking of malware, zijn internettoegang en e-mail. Het is cruciaal voor de veiligheid dat deze functies verwijderd worden van alle machines waarop industriële controlesystemen draaien of van machines die er direct mee verbonden zijn.

5

Wat zijn uw drie belangrijkste bezorgdheden op vlak van beveiliging van industriële controlesystemen? Resultaten De antwoorden op deze vraag gaan in dezelfde richting als de algemene bezorgdheden wat betreft veiligheid: 13 respondenten zijn bezorgd om malware, 9 zien bedreigingen van buitenaf als belangrijke bezordheid, 8 kijken vooral naar interne bedreigingen en nog eens 9 zijn bezorgd om industriële spionage of georganiseerde misdaad. Commentaar Een van de grootste bedreigingen blijft malware. Het is daarbij interessant om te zien in hoeveel verschillende vormen wordt geprobeerd om malware aan de man te brengen: via kliks op besmette websites, via e-mailbijlages, ingebed in documenten en foto’s, via USB-sticks, enz. Daders proberen verschillende methodes, maar de eigenlijke besmetting gebeurt door een individuele gebruiker die ergens op klikt of een bestand opent. Medewerkers beter bewust maken van potentiële risico’s kan deze bedreiging indijken.

16


4

Conclusie Industriële controlesystemen lopen evenveel , en vaak zelfs meer, gevaar van cyberdreigingen als standaardoplossingen in de kantooromgeving. Dat wil overigens niet zeggen dat andere kritische systemen, die niet onder de noemer industriële controlesystemen vallen, minder gevaar lopen. Het hacker-adagio “Als ik het kan ‘pingen’, kan ik het overnemen” geeft aan hoe gemotiveerd én gesofisticeerd sommige daders kunnen zijn. Elk bedrijf heeft de kans om zijn inspanningen op vlak van cybersecurity in kaart te brengen en risico’s correct in te schatten. Men begint best met een volledige inventaris te maken van alle digitale componenten die gebruikt worden of verbonden zijn met de industriële of operationele systemen. Een risicoanalyse kan het belang en de kwetsbaarheid van elk systeem inschatten, rekening houdend met netwerkconnecties en toegang vanop afstand. Pas als dit gebeurd is kunnen bedrijven inzicht krijgen in digitale bedreigingen en bekijken hoe ze die kunnen aanpakken. Alle daaropvolgende beslissingen, acties en investeringen moeten er op gericht zijn om de risico’s te verkleinen. Heel wat bedrijven zullen graag horen dat bescherming tegen cyberdreigingen niet altijd met technologie te maken hebben. Ook het verbeteren van processen en bewustmaking omtrent risico’s kunnen al heel wat potentiële problemen indijken. As het om veiligheid gaat, blijft de mens zelf nog altijd de zwakste schakel. Bewustwording van de risico’s die elk systeem loopt is cruciaal om potentiële verliezen en schade te vermijden. Dat zorgt voor een aanpak van risio’s die vergelijkbaar is met de aanpak van financiële en operationele risico’s: een systematische analyse van de risico’s en gevaren, gevolgd door acties die die risico’s verkleinen. Cyberdreigingen zijn een nieuwe frontlijn in een oorlog waaraan bedrijven niet kunnen ontsnappen.


ONRIX

17

Over de auteur Stephen Smith is een onafhankelijk consultant met uitgebreide expertise wat betreft cybersecurity en digitale risico’s. Hij is al 25 jaar aan de slag in de IT-sector en focust vooral op informatiebeveiliging. De afgelopen vijf jaar ging zijn aandacht vooral naar alle risico’s die verbonden zijn met industriële controlesystemen. Als Belgisch Amerikaan geeft hij advies omtrent cybersecurity aan lokale en multinationale nuts-, productie- en transportbedrijven. Zijn nieuwsgierigheid naar de maturiteit van Belgische bedrijven op vlak van cybersecurity leidde tot dit rapport. Zijn recente werk met verschillende bedrijven toont aan dat er een groeiende bezorgdheid is omtrent cyberbedreigingen, maar dat de volwassenheid om met deze bedreigingen om te gaan, nog niet zit ingebakken in het risicobeheer van organisaties. Daarom wilde hij met dit onderzoek een beter zicht krijgen op de maturiteit bij Belgische bedrijven die gebruik maken van industriële controlesystemen. Dit onderzoek wil bedrijven aansporen om te kijken welke bescherming en acties nodig zijn om de groeiende cyberdreiging te bestrijden.

Dankwoord Anja Van Geert (Astraya) is onafhankelijk adviseur op vlak van operationeel risicobeheer en strategie-implementatie, en partner bij Astraya Management Consulting. Zij heeft meer dan 15 jaar ervaring in change management en het aligneren van strategieën. Anja werkte in vele landen waar ze zowel grote internationale bedrijven als kleinere lokale organisaties hielp hun resultaten te verbeteren via praktische en meetbare stap-voor-stap strategieën. De afgelopen vijf jaar vulde ze diverse interim-managementposities in binnen wereldwijde industriële organisaties. Ze focuste daarbij vooral op beveiliging van informatie, business continuity management en processen voor risicobeheer. Voor dit rapport fungeerde Anja als klankbord en onafhankelijke recensent van de conclusies.

Velocitas is gespecialiseerd in holistisch business development. Vanuit hun missie ‘wij helpen bedrijven nu groeien’, duiken ze mee in je verhaal en ondersteunen ze je hands-on in je uitdagingen. In hun marktonderzoeks aanpak gaan ze strategisch te werk: via diepgaande gesprekken met DMU-leden analyseren ze wat er leeft in de markt. Op basis hiervan geven ze duidelijke inzichten (mapping doelgroepen, concurrenten, ...) en advies over marktpositionering en communicatie.

18


Nuttige bronnen Nuttige bronnen over cyberbeveiliging (nationaal): • Belgian Cyber Security Guide (www.iccbelgium.be/index.php/quomodo/becybersecure) • Federal Cyber Emergency Team (www.cert.be)

Nuttige bronnen over cyberbeveiliging (internationaal): • SANS Institute (www.sans.org/critical-security-controls/) • ENISA (www.enisa.europa.eu) • Agence nationale de la sécurité des systèmes d’information (ANSSI) (http://www.ssi.gouv.fr)

Auteursrecht Niets uit deze uitgave mag worden hergebruikt, verdeeld of verzonden in enige vorm of op enige wijze, zonder voorafgaande toestemming van de uitgever, tenzij voor niet-commercieel gebruik toegestaan door het auteursrecht. Vermeld aub de bron bij gebruik van resultaten uit dit rapport.


ONRIX

19

Nota’s

20


Stephen Smith [email protected] www.onrix.eu

Onderzoek - Beveiliging van Industriële Controlesystemen. België 2014 Geschreven door Stephen Smith Nagelezen door Anja Van Geert

Recommend Documents